Ovládací prvky na úrovni entit - Entity-level controls

Ovládací prvky na úrovni entit jsou vnitřní kontroly které pomáhají zajistit, aby byly prováděny směrnice pro správu týkající se celého subjektu. Jsou druhou úrovní a přístup shora dolů porozumět rizikům organizace. Obecně se entita týká celé společnosti.

Regulace obklopující kontroly na úrovni entit

Zákon Sarbanes-Oxley z roku 2002

V důsledku několika účetních a auditorských skandálů kongres prošel Zákon Sarbanes-Oxley z roku 2002. Paragraf 404 zákona vyžaduje, aby vedení společnosti vyhodnotilo účinnost vnitřní kontroly společnosti a podalo o ní zprávu. Rovněž vyžaduje, aby nezávislý auditor společnosti osvědčil informace vedení týkající se účinnosti vnitřní kontroly. Zákon také vytvořil Rada pro dohled nad účetnictvím veřejných společností (PCAOB).^[1]

Standard pro audit PCAOB 2201

The Rada pro dohled nad účetnictvím veřejných společností (PCAOB) se stala hlavním regulátorem auditů veřejně obchodovaných společností.^[2] V červnu 2007 přijala PCAOB auditorský standard 2201 (nahrazuje AS č. 5).^[3] Tento standard obsahuje standardy provádění auditu vnitřní kontroly nad finančním výkaznictvím, který je integrován do auditu účetní závěrky.

Auditor musí otestovat kontroly na úrovni účetní jednotky, které jsou důležité pro jeho závěr ohledně toho, zda má společnost účinnou vnitřní kontrolu nad finančním výkaznictvím. V závislosti na auditorově hodnocení účinnosti kontrol na úrovni účetní jednotky může auditor zvýšit nebo snížit množství testů, které budou provádět.

Ovládací prvky na úrovni entit se velmi liší svou povahou a přesností. Jejich účinek na plán auditu se liší podle přesnosti.

Typ	Popis	Efekt auditu
Nepřímý	Některé kontroly na úrovni účetní jednotky mají nepřímý vliv na šance na včasné zjištění nebo zabránění nesprávnosti. Nesouvisí přímo s riziky na úrovni tvrzení účetní závěrky.	Ovlivněte výběr kontroly a povahu, načasování a rozsah provedených postupů.
Monitorování	Některé kontroly na úrovni entit sledují účinnost jiných kontrol. Mohly by být navrženy tak, aby identifikovaly poruchy ovládacích prvků nižší úrovně. Tyto kontroly nejsou samy o sobě dostatečně přesné, aby konkrétně řešily posuzované riziko na příslušné úrovni tvrzení.	Pokud fungují efektivně, omezte testování dalších ovládacích prvků.
Přesný	Některé ovládací prvky na úrovni entity jsou dostatečně přesné, aby včas zabránily nebo odhalily nesprávnosti.	Pokud kontrola dostatečně reaguje na riziko, nejsou nutné další kontroly kontrol vztahujících se k uvedenému riziku

Běžné kontroly na úrovni entit

Ovládací prvky související s kontrolní prostředí
Ovládací prvky přepsání správy
Společnost posouzení rizik proces
Centralizované zpracování a ovládací prvky, včetně prostředí sdílených služeb
Ovládací prvky pro sledování výsledků operací
Ovládací prvky pro monitorování dalších ovládacích prvků, včetně činností systému Interní audit funkce, výbor pro audit a programy sebehodnocení
Kontroly na konci období proces finančního výkaznictví
Zásady, které se zabývají významnými praktikami kontroly podnikání a řízení rizik
Interní audit
Horká linka pro oznamovatele
Kodex chování
IT prostředí a organizace
Sebehodnocení
Sdílené služby
Zveřejňovací výbor
Dohled ze strany vrcholového vedení
Příručka politik a postupů
Hlášení analýzy odchylek

Mechanismus nápravy
Spouštění správy zabudované do IT systémů
Interní komunikace a hlášení výkonu
Nastavení tónu
Podávání zpráv výboru / výboru pro audit
Externí komunikace
Oddělení povinností
Odsouhlasení účtů
Vyvažování systému a hlášení výjimek
Řízení změn
Metodika hodnocení rizik
Analytické techniky pro hodnocení rizik
Správa věcí veřejných
Přenesení pravomoci a odpovědnosti
Postupy najímání a uchovávání
Kontroly prevence / detekce podvodů a analytické postupy

Hodnocení kontrol na úrovni entit

Hodnocení auditora

Kontroly na úrovni subjektu spolu se všemi ostatními interními kontrolami by měly být hodnoceny nezávislými auditory podle SAS 109 (AU 314) vydaného AICPA. SAS 109 stanoví, že „auditoři by měli získat dostatečné znalosti o pěti složkách vnitřní kontroly, aby mohli posoudit riziko významné nesprávnosti účetní závěrky způsobené chybou nebo podvodem a navrhnout povahu, načasování a rozsah dalších auditorských postupů . “^[4]

Informace shromážděné na základě porozumění pěti složkám vnitřní kontroly by měly být použity k následujícím účelům:

Určete typy potenciálních nesprávností
Zvažte faktory, které ovlivňují rizika významné nesprávnosti
Konstrukční zkoušky kontrol, jsou-li relevantní, a testy věcné správnosti

Ovládací prvky na úrovni entity jsou obecně zahrnuty do testování.

Integrovaný rámec vnitřní kontroly COSO

Výše zmíněných pět složek vnitřní kontroly se týká pěti částí COSO rámec.^[5] Rámec poskytuje auditorům způsob, jak vyhodnotit kontroly účetní jednotky.

Těchto pět součástí je:

Kontrolní prostředí
Posouzení rizik
Informace a komunikace
Kontrolní činnosti
Monitorování

Ovládací prvky na úrovni entity se často vejdou do jedné nebo více z pěti komponent COSO.

Příklad
Komponenty COSO	Kontroly pozadí	Výbor pro audit	Interní audit	Sdílené služby
Kontrolní prostředí	X	X
Posouzení rizik	X	X	X
Informace a komunikace	X	X	X	X
Monitorování		X	X

Hodnocení vedení

Existují čtyři základní kroky, které může vedení použít k vyhodnocení ovládacích prvků na úrovni entity: There are four basic steps that management can use to evaluate entity-level controls:^{[Citace je zapotřebí ]}

Identifikujte rizika: K identifikaci a kategorizaci rizik použijte přístup shora dolů.

Identifikujte kontroly na úrovni entit a odkaz na rizika: Prozkoumejte aktuální ovládací prvky na úrovni entity a určete, jaké ovládací prvky byly uvedeny do provozu. Také identifikujte důležité ovládací prvky na úrovni entity, které mohou v aktuálním rámci chybět. Poté propojte ovládací prvky na úrovni entity, které jsou nejvhodnější pro řešení identifikovaných rizik.

Vyhodnoťte design a provozní účinnost kontrol na úrovni entit: Určete, jak efektivně každá kontrola na úrovni účetní jednotky řeší identifikovaná rizika, mimo jiné zvážením: citlivosti; kompetence recenzenta, frekvence a konzistence činnosti kontroly; zda je kontrola spolehlivá a opakovatelná; a zda probíhá vhodná revize a následná opatření.

Využijte vhodné kontroly na úrovni entity ke zmírnění rizik: Díky využití silných kontrol na úrovni entit bude vedení schopno vyvinout účinnější a efektivnější strategii hodnocení kontrol.

Definice vybraných ovládacích prvků na úrovni entity uspořádaných do rámce COSO

^{[Citace je zapotřebí ]}

Kontrolní prostředí

^{[Citace je zapotřebí ]}

Kodex chování: Normy, kterým se organizace dobrovolně zavazuje vyhovět. Kodex chování společnosti může například obsahovat zásady zakazující zaměstnancům přijímat dary od prodejců.

Správa věcí veřejných: Mechanismus pro monitorování toho, jak jsou zdroje organizace efektivně využívány vedením, s důrazem na transparentnost a odpovědnost

Postoupení pravomoci a odpovědnosti: Pojem „úřad“ označuje právo vykonávat činnosti organizace. Pojem „odpovědnost“ označuje povinnost vykonávat přidělené činnosti. Pro dosažení cílů kontroly je důležité, aby úřady a odpovědnosti byly v souladu s cíli jejích obchodních aktivit a byly přiřazeny příslušným pracovníkům.

Postupy přijímání a uchovávání: Najímání a udržování kvalifikovaných zdrojů je zásadní pro úspěch organizace. Politiky a postupy týkající se definice práce, náboru, školení, hodnocení výkonu, retence zaměstnanců programy a řízení odchodů zaměstnanců jsou důležitými součástmi řízení lidských zdrojů.

Prevence podvodů Zabraňte / detekujte kontroly a analytické postupy: To se týká kontrol a postupů proti podvodům, které vedení používá k prevenci, odhalování a zmírňování podvodů. Příkladem může být oddělení povinností, zřízení etické horké linky a pravidelné střídání pracovních míst.

Posouzení rizik

^{[Citace je zapotřebí ]}

Metodika hodnocení rizik: Systematický přístup k identifikaci, hodnocení a stanovení priorit rizik.

Analytické techniky pro hodnocení rizik: Pokud jsou analytické techniky používány vhodným způsobem, mohou sloužit jako nástroj v procesu hodnocení rizik. Vzhledem k tomu, že riziko je výsledkem vnímání, analytické techniky pomáhají odstranit subjektivitu, a to do určité míry srovnáním a prezentací údajů systematickým způsobem pro posouzení potenciálního dopadu a pravděpodobnosti výskytu nebo rizik.

Informace a komunikace

Interní komunikace a podávání zpráv o výkonu: To se týká komunikačních linek, které procházejí strukturou organizace, a to shora dolů i zdola nahoru, včetně vzájemné komunikace. Reportování výkonu je součástí interní komunikace a obvykle zahrnuje obousměrný proces stanovení očekávání a sledování výkonu oproti dohodnutým očekáváním.

Nastavení tónů: Nastavení tónů odkazuje na různé složky „tónu nahoře“, které jsou stavebními kameny charakteru organizace. Po nastavení správného tónu je stejně důležité mít otevřené komunikační kanály, aby tomu v organizaci i mimo ni rozuměli a jednali podle ní. Mezi příklady takových složek tónu patří etický kodex a postupy správy a řízení společnosti.

Podávání zpráv výboru / výboru pro audit: Členové představenstva, včetně nezávislých ředitelů, přebírají fiduciární odpovědnost, která od nich vyžaduje přístup k přesným a relevantním informacím. Zatímco většina zemí přijala zákony týkající se formálního podávání zpráv představenstvu a výboru pro audit představenstva, obvykle představují základní postupy a požadavky. Společnosti mohou přijmout přísnější opatření týkající se podávání zpráv představenstvu / výboru pro audit, například pořádat častější formální schůze výboru pro audit, než stanoví zákon.

Externí komunikace: Jedná se o komunikaci s akcionáři, akciovým trhem, zákazníky, regulačními orgány, prodejci a dalšími subjekty mimo formální hranice společnosti. Výroční zpráva je příkladem externí komunikace o výkonnosti společnosti, finančních výkazech, vizích, cílech a cílech.

Monitorování

^{[Citace je zapotřebí ]}

Probíhající monitorovací činnosti: Pravidelná kontrola procesu a kontrol pomocí příslušných nástrojů pro podávání zpráv o řízení. Patří sem například měsíční kontrola stárnutí pohledávek s cílem určit rozsah rezerv požadovaných pro pochybné dluhy.

Nezávislý mechanismus hodnocení: Využití externích specialistů nebo odborníků ke kontrole a posouzení interních kontrol. Může to například zahrnovat použití externích daňových odborníků k přezkoumání kontrol kolem daňových pozic vyvinutých interním daňovým týmem.

Hlášení analýzy odchylek: Srovnání a hlášení skutečného výkonu s předem stanovenými referenčními hodnotami, pokud se použijí vhodným způsobem, mohou sloužit jako mechanismus včasného varování. Například stálý nárůst obratu dlužníka může naznačovat různé úrovně problémů souvisejících s inkasem.

Mechanismus nápravy: To se týká systematického přístupu k řešení zjištěných problémů vnitřní kontroly. Zatímco problém lze identifikovat pomocí interního nebo externího monitorovacího mechanismu, nápravný mechanismus je obvykle ve vlastnictví vedení.

Spouštěče správy zabudované do IT systémů: Většina podnikových aplikací konfiguruje obchodní pravidla tak, aby zabránila, vyžadovala předběžné schválení nebo varovala příslušné vedoucí pracovníky v případě, že nebudou dodrženy určité přednastavené prahové hodnoty. Například prodejní aplikace by mohla nasadit ovládací prvek zabraňující prodejním transakcím nad stanovený úvěrový limit zákazníka.

Důležitost

Ovládací prvky na úrovni entity mají všudypřítomný vliv v celé organizaci. Jsou-li slabé, nedostatečné nebo neexistující, mohou způsobit významné nedostatky týkající se auditu vnitřní kontroly a významné nesprávnosti v účetní závěrce společnosti. Přítomnost významných nesprávností může mít za následek přijetí záporného výroku o vnitřních kontrolách a výroku s výhradou k účetní závěrce. Oprava významných nesprávností je nákladná a přijetí nepříznivého nebo kvalifikovaného stanoviska má obecně za následek pokles ceny akcií u veřejně obchodované společnosti.

Výhody

Snížení pravděpodobnosti negativní rizikové události vytvořením a posílením infrastruktury, která nastavuje kontrolní vědomí organizace
Široké pokrytí rizik nad finančním výkaznictvím a provozem. Pro společnosti provádějící hodnocení interních kontrol může přítomnost účinných kontrol na úrovni účetní jednotky přispět k efektivnější a účinnější strategii hodnocení
Generování efektivnosti v dalších obchodních a provozních procesech
Posílení pro všechny zúčastněné strany důležitosti vnitřních kontrol pro úspěch podnikání
Lepší porozumění tomu, jak jsou identifikovaná rizika zmírněna, a přesměrování hodnocení a dalších zdrojů do prioritních rizikových oblastí
Zvýšená účinnost a efektivnost hodnocení rizik managementu a hodnocení kontrol.

Reference

^ „Zákon o Sarbanes-Oxley z roku 2002“ (PDF). Citováno 2009-04-21.^{[trvalý mrtvý odkaz ]}
^ "SEC Popis PCAOB". Citováno 2009-04-21.
^ „Auditorský standard č. 5“. Citováno 2016-05-05.
^ „AU 314 / SAS 109“ (PDF). Archivovány od originál (PDF) 3. prosince 2008. Citováno 2009-04-21.
^ „Integrovaný rámec vnitřní kontroly COSO“. Archivovány od originál dne 28. 2. 2009. Citováno 2009-04-21.

„Ovládací prvky na úrovni entity“ (PDF). Citováno 2009-04-21.

externí odkazy

[1] „Zákon o Sarbanes-Oxley z roku 2002“ (PDF). Citováno 2009-04-21.^{[trvalý mrtvý odkaz ]}

[2] "SEC Popis PCAOB". Citováno 2009-04-21.

[3] „Auditorský standard č. 5“. Citováno 2016-05-05.

[4] „AU 314 / SAS 109“ (PDF). Archivovány od originál (PDF) 3. prosince 2008. Citováno 2009-04-21.

[5] „Integrovaný rámec vnitřní kontroly COSO“. Archivovány od originál dne 28. 2. 2009. Citováno 2009-04-21.

[1]

[2]

[3]

[4]

[5]